如何使用 AWS CloudFormation 在 AWS API Gateway 上应用安全策略？

Question

我有一个简单的 cloudformation 模板，它正在为 API 网关创建自定义域，
该模板能够创建自定义域。

但是我找不到将Custom Domain Security Policy为TLS 1.2的 cloudformation 属性，
该模板使用默认的TLS 1.0 Security Policy创建自定义域

模板 -

AWSTemplateFormatVersion: 2010-09-09
Transform: 'AWS::Serverless-2016-10-31'
Description: Test Custom Domain

Resources:
  test:
    Type: AWS::ApiGateway::DomainName
    Properties: 
      CertificateArn: !Sub 'arn:aws:acm:${AWS::Region}:${AWS::AccountId}:certificate/xxxx-xxx-xxx-xxxx-xxxx'
      DomainName: 'test-api.example.com'
      EndpointConfiguration: 
        Types: 
          - 'EDGE'

参考 -
https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-domainname.html

Answer 1

遗憾的是，此参数尚未通过 CloudFormation 公开。

这里有一张跟踪其进展的票 - https://github.com/aws-cloudformation/aws-cloudformation-coverage-roadmap/issues/3

目前，最好的办法是创建自定义 CloudFormation 资源。

此参数通过 API 公开，并且可以由（至少部分）他们的 SDK 使用 - https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/apigateway.html#APIGateway.Client .create_domain_name

以下是讨论如何创建客户资源的文档 - https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html

Answer 2

2020 年 7 月添加了对在 API 网关域上指定安全策略的支持。 AWS Docs上提供了有关如何将此参数添加到 CloudFormation 模板的文档。 安全策略的有效值为TLS_1_0或TLS_1_2 。 下面的例子：

ApiCustomDomainName:
  Type: 'AWS::ApiGateway::DomainName'
  Condition: ApiGatewayEnabled
  Properties:
    DomainName: "example.com"
    RegionalCertificateArn: !Ref CertificateArn
    securityPolicy: "TLS_1_2"
      EndpointConfiguration:
        Types:
          - REGIONAL